Datensicherheit

Mit Software Compliance-Risiken verringern

| Autor / Redakteur: Richard Anstey / Peter Schmitz

Dokumentenplattformen mit IRM und Verschlüsselung helfen bei der Einhaltung von Compliance-Vorschriften, ohne Kompromisse bei der Sicherheit oder Einschränkung im Tagesgeschäft.
Dokumentenplattformen mit IRM und Verschlüsselung helfen bei der Einhaltung von Compliance-Vorschriften, ohne Kompromisse bei der Sicherheit oder Einschränkung im Tagesgeschäft. (© relif - stock.adobe.com)

Daten schützen und zugleich damit arbeiten ist heute ein Balance-Akt, denn Unternehmen müssen heute dutzende Richtlinien und Auflagen befolgen und unterstehen der Kontrolle vieler verschiedener Behörden. Software-Lösungen aus der Bankenbranche versprechen, das Unvereinbare zu vereinen.

Auf der ganzen Welt gelten Richtlinien für Unternehmen, nach denen sie für den Umgang mit Daten verantwortlich sind – wie der Sarbanes–Oxley Act (SOX) oder der Health Insurance Portability and Accountability Act (HIPAA) – und jede Verletzung der Schutzbestimmungen melden müssen. Auf der einen Seite nimmt die Regulierungswut nationaler und internationaler Aufsichtsbehörden stetig zu, zum anderen erweitern vor allem letztere ihr Einflussgebiet – Stichwort EU und das „Privacy Shield“.

Auf der anderen Seite unterstehen Unternehmen heute nicht mehr einer Behörde, sondern Dutzenden. Gerade in einer globalisierten Welt mit internationalen Konzernen und Standorten auf allen Kontinenten müssen sich Unternehmen auf die verschiedensten Compliance-Ansprüche einstellen.

Kontrolle behalten

In vielen Fällen wirken sich die genannten Regulierungen nicht nur auf das eigene Handeln aus, sondern auch auf das, was Zulieferer oder Partner mit den Daten anfangen. So muss ein deutsches Unternehmen sicherstellen, dass personenbezogene Daten auch auf den Servern eines Cloud-Anbieters unter Einhaltung aller gesetzlichen Anforderungen gespeichert und verarbeitet werden. Wo dieser Anbieter seine Daten lagern darf, ist zum Teil ebenfalls vorgeschrieben. Dass Daten jedoch andere Güter sind als Schiffscontainer, deren Lager man leichter zertifizieren kann, weil sie nicht in der nächsten Sekunde auf einem anderen Kontinent liegen, ist den Regulatoren dabei relativ egal.

Es geht also um Kontrolle. Kontrolle über die eigenen Daten, über sensible Informationen und deren Lagerorte, sowie darum, die Zulieferer und deren Umgang mit den Daten ebenfalls nachweisbar dokumentieren zu können. Im besten Falle ist jeder Arbeitsschritt transparent. Zugleich sind Unternehmen gezwungen, all ihre Informationen zu schützen: vor unautorisiertem Zugriff und vor neugierigen Augen.

Die Auflagen nehmen zu – nun müssen Daten nicht nur verfügbar und nachvollziehbar, sondern auch sicher sein. Die dritte Anforderung stellen die Mitarbeiter. Lägen alle Daten nur an einem Fleck, so ließen sie sich problemlos bewachen und Compliance-gerecht verwalten. Leider wollen die eigenen Mitarbeiter dabei nicht mitmachen – sie müssen mit ebendiesen Daten arbeiten, sie speichern und kopieren und auch aus dem Home-Office aufrufen, sowie mit Partnern und externen Dritten teilen.

Verstöße sind teuer

Datenschutz und Sicherheit sind kein reiner Selbstzweck – die Regulatoren verstehen keinen Spaß und können Millionenbeträge als Strafen verhängen, wenn Unternehmen ihre Cybersicherheitsstrategien und -verfahren nicht Compliance-gerecht implementieren und den richtigen Schutz nachvollziehbar nachweisen können. Im September 2015 hat die US-Börsenaufsicht SEC Compliance-Beauftragten mit harten Strafen gedroht, wenn sie ihren Pflichten der Kontrolle nicht nachkämen.

Dennoch scheinen Unternehmen den Überblick noch immer zu suchen. Felix Gaehtgens, Forschungsdirektor bei Gartner, weist darauf hin, dass im Jahr 2015 weniger als fünf Prozent der weltweiten Unternehmen die Aktivitäten privilegierter Nutzer verfolgt und überprüft hätten. Der Rest habe – wenn überhaupt – kontrolliert, wann, wo und von wem der Zugriff erfolgt sei, allerdings nicht, was eigentlich gemacht wurde.

Ein positiver Nebeneffekt der drakonischen Strafen und der negativen Konsequenzen von Sicherheitsregulierungen ist jedoch, dass sie dazu beigetragen haben, die Priorität von Cybersicherheit in die Führungsetage emporzuheben – was vielen CISOs geholfen hat, eine Förderung für kritische Sicherheitsinvestitionen zu erhalten.

Sicherheit überall

Früher war selbst bei den sichersten Umgebungen nur die Grenze abgesichert. Heute gilt in Unternehmen: Die Inhalte sind die neue Grenze. Deswegen liegt der Fokus nun auf der Sicherheit auf Dokumentenebene statt auf traditionellen Mauern wie der Firewall zum Schutz vor Sicherheitsverstößen und Datenlecks. Die Inhalte bleiben kontrollierbar, ganz gleich, wo sie sich befinden. Damit gewinnen Unternehmen die Freiheit, Dateien in alle Welt zu versenden und gleichzeitig sensible Inhalte zu schützen.

Die Technik dahinter nutzt Methoden wie Information Rights Management (IRM) und die Verschlüsselung einzelner Dateien. Dies bedeutet, dass jede Datei immer geschützt ist, auch wenn sie bereits auf einen USB-Stick heruntergeladen wurde, und sich nur per zentralem Serverzugriff öffnen lässt – mit einer entsprechenden Authentifizierung des Nutzers. Somit können nicht nur Zugriffsberechtigungen zentral verwaltet und jederzeit entzogen oder verteilt werden, sondern dies kann dank IRM so granular geschehen, dass für jeden Benutzer festgelegt werden kann, ob er eine Datei etwa kopieren darf, ob er sie drucken kann, und so weiter.

Was hat dies nun mit Compliance zu tun? Jede Aktion wird aufgezeichnet und zentral kontrolliert. Dies bedeutet, dass zum Zeitpunkt eines Audits etwa eine solche Lösung ohne Mühe einen Report erstellen kann, der genau darlegt, wer wann welche Dateien angesehen, geöffnet oder versendet hat. Derartige Nachweise werden bereits heute vor Gericht eingesetzt, etwa in Übernahmestreitigkeiten.

Von der Bank in die Welt

Softwarelösungen wie diese nutzen heute unter anderem Banken und Wertpapierunternehmen auf der ganzen Welt, um ihre Netze geografisch verteilter Lieferanten zu verwalten. Dokumentenplattformen mit IRM und Verschlüsselungstechniken wie Customer Controlled Keys stellen eine zentralisierte Kontrolle und Überwachung sensibler Daten bereit. Sicherheits- und Risikomodelle geben Finanzinstituten die Möglichkeit, die moderne Kommunikation über die Unternehmensgrenzen hinweg zu fördern – ohne Kompromisse in Sachen Risiko-Management und ohne Einschränkung im Tagesgeschäft und weniger Abhängigkeit von vielbeschäftigten IT-Teams. Dadurch wird ein zuverlässiger Austausch von Dateien mit bewährten, umfassenden Sicherheits- und Verschlüsselungsfunktionen in einer sicheren Umgebung gewährleistet.

Mithilfe moderner Lösungen werden die Routineabläufe der Benutzer also nicht durch zusätzliche Schritte oder Hürden erschwert. Es wird sogar sichergestellt, dass das Unternehmen sein geistiges Eigentum, seine vertraulichen Kundendaten und alle anderen geheimen Dokumente auf dem Desktop, über Browser oder über Mobilgeräte vollständig unter Kontrolle hat. Die Einhaltung von Sicherheitsvorschriften wird durch diese Techniken einfacher und risikoärmer – für Mitarbeiter und die Informationen, die sie schützen wollen – und dass alles, ohne den Zugriff auf Informationen einzuschränken.

Es nimmt nicht Wunder, dass Techniken wie derartige Dokumentenplattformen längst den Weg aus der Bankenbranche in die breite Welt globaler Konzerne gefunden haben: nicht nur Banken und Pharmakonzerne, sondern auch Konstruktionsbüros und andere Industriebetriebe setzen bereits auf diese Plattformen. Je größer und verteilter Unternehmen werden und je wichtiger der Inhalt ihrer Dokumente, desto entscheidender ist eine technische Lösung, die Sicherheit, Kontrolle und Nachvollziehbarkeit vereint.

Über den Autor: Richard Anstey ist Chief Technology Officer EMEA bei Intralinks. Bevor er zu Intralinks kam, war er als Chief Architect bei OpenText für die Entwicklung von Technologien für das Informationsmanagement-Portfolio des Unternehmens verantwortlich.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44793394 / Compliance und Datenschutz )